Mikrotik: Banir host se houver muitas solicitações HTTP dele

0

Ontem, notei uma atividade estranha do meu humilde servidor web: estava moderadamente quente, estava se contraindo pelos chefes do disco rígido e a atividade da LAN estava excepcionalmente alta.

Quando olhei para logs, descobri que algum host está verificando meu servidor da Web em busca de documentos usando a força bruta de nomes de arquivos.

Existe alguma proteção contra esse ataque de força bruta que eu poderia implementar no RouterOS?

    
por Paul 03.12.2015 / 19:32

1 resposta

1

Sim, existe uma proteção. Basicamente, você terá que adicionar uma regra de firewall para detectar tais hosts (critérios: várias conexões tcp / port 80 do mesmo host), e quando você tiver uma, adicione esse IP de origem a uma lista de endereços.

/ip firewall filter add chain=input protocol=tcp dst-port=80 connection-limit=200,32  \
action=add-src-to-address-list  address-list=blocked-addr address-list-timeout=1d 

Em seguida, bloqueie as conexões de entrada dessa lista de endereços.

/ip firewall filter add chain=input src-address-list=blocked-addr action=drop

Você precisa ajustar o limite (aqui, 200). E também a cadeia (entrada se o servidor Web for o dispositivo mikrotik, encaminhar se for outro servidor web)

Isso é adaptado do wiki: link

    
por 04.12.2015 / 22:54